Le piratage psychologique > Ingénierie sociale
Ressources
Le piratage psychologique
Mieux comprendre les faiblesses cognitives humaines, pour mieux déjouer les tentatives de les exploiter.
Ingénierie sociale
Types de phishing
Etapes d'une attaque
Outillage
Contrôle des connaissances
Principes de persuasion
Introduction
Réciprocité
Engagement et cohérence
Preuve sociale
Sympathie
Autorité
Rareté
Webinaire - Introduction à l'ingénierie sociale
Contrôle des connaissances
Biais cognitifs
Introduction
Croyance, prise de décision et comportement
Interaction sociale
Analyse d'une attaque
Contrôle des connaissances
Mesures de sécurité
Défense en profondeur
Mesures techniques
Mesures physiques
Politiques et procédures
Formation et sensibilisation
Contrôle des connaissances
Définition
Dans le contexte de la sécurité de l'information, l'ingénierie sociale est la manipulation psychologique des personnes pour qu'elles accomplissent des actions ou divulguent des informations confidentielles. Il serait plus approprié de désigner cette pratique comme piratage psychologique ou fraude psychologique, afin d’éviter toute confusion avec l’ingénierie sociale en tant que discipline des sciences sociales, et pour mettre en évidence le concept de tromperie.
Arme redoutable couramment utilisée dans les attaques informatiques, l’ingénierie sociale vise à exploiter les faiblesses cognitives qui caractérisent l’homme en tant qu’espèce. Ces faiblesses, biais et raccourcis sont « codés en dur » dans nos cerveaux, et résultent de notre histoire évolutive, dans laquelle on peut supposer qu’ils ont joué un rôle important.
Les professionnels de la sécurité ont l’habitude de corriger les vulnérabilités technologiques, issues de défauts de mise à jour, d’erreurs de configuration ou de mauvaises pratiques de développement logiciel. Cependant, il est clair que les vulnérabilités psychologiques que nous venons d’évoquer ne se traitent pas si facilement ; pourtant il existe des techniques pour réduire le risque qu’elles soient exploitées.
La réduction du risque est l’objectif de cette formation, qui comporte quatre parties :
- une description des techniques d’ingénierie sociale, avec une attention particulière portée aux différentes formes de phishing et au cycle de vie d’un piratage psychologique
- une revue des principes de persuasion que les attaquants utilisent dans le but de manipuler leurs victimes et influencer leur comportement
- une analyse des biais psychologiques qui se prêtent les plus à une exploitation malveillante
- une description des mesures de sécurité qui peuvent être déployées pour réduire le risque.
Toute organisation devrait s’intéresser à l’ingénierie sociale, pourtant il n’est pas rare que cette menace soit négligée, et que l’effort soit concentré sur l’implémentation de mesures de sécurité purement techniques. Certes, les mesures techniques sont utiles, mais si l’on ne donne pas à l’humain une place privilégiée dans la démarche de sécurisation, il sera inévitablement le maillon faible de la chaine.
1 / 25